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Objetivos 

EN  — |) h|— hA 
п Entender o conceito Hacker 
о Oportunidades de negócios 


п Exercícios para mente hacker 


Hacker 
= aaa 


п O que é um hacker para vocês 


[1 


Como chegou a essa conclusão? 


Qual a visão da sociedade sobre isso? 
Qual a visão dos profissionais de TI? 


Qual a visão das empresas? 


O ü ü о 


Qual a visão da imprensa? 


Hacker 


| 
O A imprensa precisa de uma palavra para 
denominar criminosos que usam o computador para 
cometer crimes, ептао, que palavra usar? 


O Sugestão: Crackers, piratas de computador, 
cibercriminosos, hackers do mal. 


Hacker 
= ^^ sss 


O Hack: Desde século XIII, vem de to hack, abrir caminho a 
golpes de machado. Hoje, abrir caminho onde os outros 
falharam. 


Webster, dicionário inglês 


о Substantivo de dois géneros. 


O Indivíduo hábil em descobrir falhas em sistemas de 
computação, podendo usar este conhecimento para o 
bem ou para o mal. 


Fonte: Dicionário Eletrônico Aurélio 


Introdução 


O Invadir para não ser invadido é o mesmo que 
assaltar para não ser assaltado? 


п Aprender como assaltar para não ser assaltado é 


о mesmo que aprender a invadir para não ser 
invadido? 


O Vantagem: podemos invadir o próprio IP, dominios sob 
nossa responsabilidade e máquinas virtuais. 


O À prática do assalto sempre será crime. A da invasão 
não. Por que invasão (no Brasil) não é crime. 


Introdução 
ССС 


3 Por que falar sobre hacker? 


п Pessoas ainda se surpreendem 


o Atuação do hacker ainda não está clara para а 
sociedade. 


3 Imprensa, na falta de palavra melhor, relaciona o 
termo hacker a fraudes nos sistemas informatizados 


п É “conhecimento proibido” 


Introdução 
ТЇС 


Quem se atreve а dizer que estuda isso? 
Quem estuda o diabo? 


Quem estuda pedofilia? 


Oo ü ü O 


E a medicina com о estudo de indigentes, 
não é profanação de corpos? 


1 Pessoas nuas em revistas famosas é nu 
artístico. E se alguém quiser ser 
fotografado nu? 


о Quem será mais bem aceito socialmente? 
Pedro que é fotógrafo da Playboy ou 





João que fotografa as vizinhas nuas? 


O artista e sua obra: um morto que virou escultura. 


História 
= 


[1 Primeiros acontecimentos 


O Hacker ainda náo vinculado á informática 


leonardo dicaprio tom hanks 
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Istoria 


DO Phreaking 





História 
ИШЕ 0 
о Computadores podem ser invadidos 
о Década de 70, terminais ligados à mainframes 


о Programadores colocavam trechos de código 


п Códigos que desviam centavos de contas ou salários. 





História 





TN 
о Script kiddies 
О Jovens começaram a ter idéias.... 
о Década de 80, fase que mais teve ataque individual 


O Termo usado para crackers inexperientes. 
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História 
EN . ....( B B  lL LL  J 
о Precisamos deles 


O Aliança entre Indústria e Hackers 


п Conceito de Ética Hacker 


SORT Hr arse HALLE DON 
"EP Talis ER PUT а а mr 
TRAVOLTA JALANAN BERRY CHEADLE 
д da PAra д. 


TE р 
Гы! | 1 


»pVYBITNY! TRZYMAJA 
W NAPIĘCIU, INTELIGEN 
THRILLER AKCJI.” 


DVD 





Exercicio | 


O Assistir Hackers Anjos ou Criminosos e entregar 
resenha apontando principais pontos do filme. 


Escrever seu ponto de vista sobre cada ponto 


elencado. 


a Outros filmes: 


о Captain ZAP — The Movie 
O Hackers 2 
1 Os Piratas de Silicon Valley 


1 RevolutionOS 
п The Code 


п Matrix 

3 007 Goldeneye 

о 007 Casino Royale 
[D А Rede (Facebook) 


O hacker profissional 


о Quer ser hacker profissional? 

O Esteja ciente que é ser pioneiro 

a Sujeito a críticas e oposição 

п É o preço que se paga por sair na frente 
a Profissionalizar o hacker 

O Evitar que façam parte do crime 


organizado ou que usem seu talento em 
ações de vandalismo 





Ética Hacker 


о Equivoco é pensar que ética hacker se relaciona com 
pessoa boa ou má. 


O А ética hacker se refere a até que ponto o hacker é 
confiável. 


о Conhecer os segredos da empresa sem se aproveitar deles. 


O Imagem construída а longo prazo 


o Como confiar num hacker? 


[ Se médicos e juízes são pegos cometendo crimes, que 
dirá hackers 


1 Você concorda com a visão da ética relacionada a 
confianca? 


Etica Hacker 
eee 
п Não existe curso de Ética, existem pessoas éticas. 

п Não usar indevidamente os conhecimentos 


о Compromisso moral pois não há como impedir... 


Ética Hacker 1⁄4 (Escola de Hackers) 
= QQ 


| Somos contra o ganho financeiro com a obra alheia, 
mas a favor da livre circulação da informação. 

Il. Nossa função social não é corrigir falhas, mas 
encontrá-las. 

Ill. Somos livres para buscar vulnerabilidades onde quer 
que estejam, mas nos comprometemos a divulgá-las 


primeiro aos responsáveis. 


IV. Não denegrimos a imagem de outras pessoas e não 
entramos em discussões polarizadas. 


Y. Temos direito a liberdade de expressão, mas não ao 
anonimato. 


Ética Hacker 2/4 (Escola de Hackers) 
= QL QQ 


3 VI. Temos direito ao anonimato, mas não para 
praticar crimes. 


O VII. Sempre somos nós e o nosso avatar. 


3 VIII. Nos comprometemos a colaborar com as 
autoridades do nosso país sempre que formos 
requisitados. 


3 IX. Nos comprometemos a conhecer melhor a 
legislação do nosso país, ainda que seja para usá-la 
a nosso favor. 


Ética Hacker зу (Escola de Hackers) 


NEN j j j j j QŒ «à âP 
п X. Entendemos que somos todos pessoas boas, 
capazes das piores maldades. 
a XI. Não faremos demonstrações exibicionistas usando 
técnicas hacker. Nosso mérito deve vir dos hacks 
criados рог nós, pois sem eles пао temos mérito 


algum. 


O ХИ. Agimos em busca de resultados. Desculpas não 
justificam o fracasso. 


3 XIII. Em nosso meio não há presunção da inocência. 


о XIV. Não temos medo de nada, mas respeito por 
tudo. 


Ética Hacker 4/4 (Escola de Hackers) 
= QQ 


о XVI. Não somos melhores, apenas diferentes. 


DO XVII. Aceitamos as diferenças, mesmo quando пао 
concordamos com elas. 


a XVIII. Compartilhamos o conhecimento, nada mais. 


O XIX. Defenderemos а imagem do hacker sempre que ela 
for deturpada pela imprensa ou por pessoa leiga. 
о XX. Nunca nos intitularemos hackers. Que eles 


descubram quem somos. 


о XXI. Nos comprometemos a buscar qualidade para 
nossas vidas, buscando soluções inteligentes para nossos 
problemas. 


Como rentabilizar 


1 Hacker profissional autónomo 


O Prestação de serviço: recuperação de contas e dados, blindar o 
PC contra ataques. 


a Usar o buzz marketing (boca a boca). Negócio a longo prazo. 
Serviço não vai faltar. Impecável na forma de se apresentar e 
competente. 


1 Caçador de vulnerabilidades (auditoria online de 
vulnerabilidades) 


O Variação da anterior. 

O Para empresas que tem sites na Internet 

O Emissão de relatórios de vulnerabilidades e correções 
п Ex.: empresa Site Blindado 


a Leia http: //www.siteblindado.com.br /tecnologia.html 


Como rentabilizar 


EN |) 1 l| |. . | 
1 Escritor de livros hacker 
O Experiência e habilidade 


a Web 2.0 trouxe novas vulnerabilidades. E a Web 3.02 Cloud 
Computing? Redes Sociais? etc 


1 Instrutor de curso hacker 
о Habilidade e experiência 
O Faltam cursos no mercado 
o Palestrante 


a Ex.: ex-cameló David Portes 





(2006) 


Como rentabilizar 
m a 


о Quem você acha que está mais bem preparado 
para lidar com problemas de segurança em uma 
empresa? O administrador de rede, o profissional 
de segurança ou o hacker? Porque? 


п O conhecimento de um hacker profissional é o 
mesmo de um profissional de segurança? Baseado 
em que? 


Marketing pessoal 
BB 


3 Marketing pessoal é а criação e gerenciamento de 
uma imagem para o mundo, mas especificamente, 
para um nicho de mercado. 


о Use seu networking para capitalizar e prestar 
servicos hacker. 


O Prospecte novos mercados. Como fazer isto? 


D O marketing pessoal comeca definindo quem vocé 
quer ser (aparecer) para o mundo 


Importáncia do Networking 
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Marketing pessoal 


Exercicio 2 
E 


O Primeiro passo 


о Escreva a seguinte frase, substituindo QUALIDADE e 
ATIVIDADE pelo que é do seu interesse: 


Quero ser conhecido(a) como o(a) 
[ UMA QUALIDADE ] [ UMA ATIVIDADE ] [ESPACO 
GEOGRÁFICO]. 


п Exemplo: 
a "Quero ser conhecido como o maior hacker do bairro.” 
о Se for mais ambicioso(a): 


a "Quero ser conhecido como o maior hacker do mundo.” 


Marketing pessoal 
Exercicio 3 


O Segundo passo: 
3 Definindo o SER, com a descrição do cenário. 


п Um cenário é uma descrição mental de como as 
coisas seriam se determinada situação já existisse. 
Ex.: como é ser o maior hacker do mundo? O que 
faz о maior hacker do mundo? ... 


Responda: 
Como é SER? 
O que FAZ? 


= 
= 
Como as pessoas SABEM que FAZ? = COMO faz? 
O que PENSAM disso? п Como CHEGOU lá? 


[1 


QUANTO ganha? 
ONDE faz? 


LE] LI E 


Exercicio 4 


о Mente hacker 
O Habilidade de buscar soluções diante de situações 


aparentemente sem saída 
D Algumas pessoas desistem ao encontrar obstáculo, 


recusam-se, são incapazes. 


O htp://www.quizes.com.br/hacker/1.htm 


O http://www.hackerskills.com 


Mente Hacker 


L 


Desafio 4 é base para exercitar mente hacker. 


Caso não tenha reparado, avançar nas páginas do desafio 
teve o mesmo efeito de uma invasão, pois eram áreas 
protegidas que foram acessadas não por que você foi 


autorizado(a), mas por você ter descoberto como fazer o 
acesso. 


Diferentes formas de lidar. Alguns 
a lentaram 
O Foram até onde conseguiram 


O Buscaram respostas 


Todas as formas são válidas. Tudo para alcançar o objetivo. 
Isto é mente hacker. 


Mente hacker 
мнн 

O É preciso treinar 

п Perder o medo 

O Estudar e aceitar 


O Praticar!!! 


TÉCNICA, NO TECH E 
MENTE HACKER 
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Definição de Técnica 
= QQ 


о Conjunto de processos, métodos e procedimentos de 
uma arte, ciência ou ofício (ex.: uma nova técnica 
para tratamento dentário). 


3 Jeito próprio de se fazer algo: Tenho uma técnica 
para memorizar. 


о Prática, perícia, habilidade especial para fazer 
algo. 


о Técnicas são chamadas hacks 


Definição de Técnica 

ww _ eee 
п Aquele que cria é o mais valorizado 
п Valorização não quer dizer dominio 


[ As vezes, o que copia pode alcançar nível técnico 
maior do que aquele que cria. 


оп Todos usam técnicas prontas. 


1 Veremos algumas técnicas na disciplina 


3 Igual na culinária. No futuro, alguns vão copiar as 
receitas, outros vão adaptar e poucos vão inventar. 


No Tech 
=m uQ 


п Ação Hacker sem uso de 






FREE E-BOOK DOWNLOAD 


tecnologia 


п Não é Sem Técnica, mas sim Sem 
Tecnologia o 
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estratégia, pois admitia-se que 





não seria possível atacar, contra- 
atacar sem tecnologia 


No Tech 





1 Shoulder Surfing o Dumpster Diving 





Shoulder Surfing 








Engenharia Social 


Ë 





No Tech 
eee 
O Invasores buscam CDs e pen-drives esquecidos 


o Você sabe abrir a porta do CD-ROM com o 
micro desligados 


Street Hacker 
EH Y sx s 


D Nas ruas 


о Whit gadget (admite-se PDA, pen-drive com exploits, 
notebook, celular) 


о Whitout gadget (sem uso de tecnologia) 


1 Busca em aeroportos, cyber café, etc 


O http:/ /www.streethacker.com / 


Mente Hacker 
EN ||| ||| 


a Toda ação é definida por um modelo mental. 


D Modelo mental é a forma como seus pensamentos езтао 
estruturados. 


о Esta estruturação ocorre ao longo da vida, sendo o período de 
maior estruturação o que vai até os sete anos de idade. Fase da 
Absorção (informações verbais e não verbais) 


O As áreas de processamento cerebral não usadas na infância ficam 
adormecidas, podendo ser despertadas a qualquer momento. 


1 Adultos são mais críticos e menos capazes de ir contra a 
estruturação já instalada e contra os caminhos proeminentes 
existentes 


о Talvez estude tudo sobre hacker, mas falte reprogramar o modelo 
mental para começar a agir sem achar que é errado 


Técnica da página dois 
EH ( . /|. He—l| h h DD  — 
о Quem você acha que cria página para Web? 


о Muitas pessoas leigas, que fez cursos de 
desenvolvimento de sites, de "Web Designer", etc 


3 Resultado: Páginas mal feitas ... Falta de segurança! 


1 Funcionamento normal: 
a Usuário entra na página de login e digita usuário e senha 


O O sistema verifica no banco de dados se os dados 
conferem, se conferir dá acesso a página dois. 


H Se os dados, nome do usuário ou senha, não conferir, o 
sistema exibe a página trés informando o erro. 


Técnica da página dois 
EH oo 0000000000 





I PÁGINA 2 


“Página com informações 
de acesso restrito 

“PÁGINA DOIS: Seja-bem 

vindo! 










ебе o nome do usuario ou 
senha estiver errado, 
uma terceira pagina é 
exibida. 

“PÁGINA TRÊS: Senha ou 

Usuário inválido. 


PAGINA 3 







«Pagina de login do site 
“PÁGINA UM: Seu nome 
de usuario e senha? 
















I PÁGINA 1 





A Vulnerabilidade 


о О que acontece se o programador não proteger а 
página 2 do acesso direto? 


[1 Se vocé acessar a página 1 vai ter que informar 
usuário e senha 


a Mas e se acessar direto a página 22 
п À pergunta a responder é: 

a Qual o endereço da página 2? 

a Qual a URL permite isso? 


O Isto está no código-fonte! 


Demonstração 

EN | [|— h^ | | 
о Demonstração 
1 Acessando a página 2 de um site cobaia 


O Acesso restrito autorizado sem preenchimento de 
usuário e senha 


п Falta de validação da página 2 


Exercicio 6 
gg " A.A... 


Cite um No Tech diferente dos abordados em aula e descreva-o. 


[T 


2. 


Vocé já obteve acesso á locais de acesso restrito? Conte-nos sua 
experiencia. 


Tarefa proposta: 


No decorrer dessa semana, tire a foto da tela de algum computador (que 


пао seja o seu, obviamente). 


Faca isso em um lugar em que possa realizar o shoulder surfing sem ser 
percebido. 


Após tirar a foto, realize as seguintes tarefas e tire suas conclusões: 


determine o sistema operacional utilizado; 
determine o hardware utilizado; 
enumere os softwares utilizados; 


descreva demais itens, como data/hora, configurações da área de trabalho e 
etc. 


HACKS PRONTOS PARA 
USO 
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Definição de Hacks 


O As pessoas зао o que fazem. 


о Um fotógrafo é fotógrafo por fazer fotos. Um 
cozinheiro é cozinheiro por preparar alimentos. Um 
hacker é hacker por fazer hacks. 


о Hacks são procedimentos que permitem obter 
resultados que a pessoa comum não obteria. 


Hack #01 Criar pastas proibidas 
= ни 


п O Windows não permite а criação ou remoção de 
pastas com nomes de dispositivos, como por 
exemplo: con, lptl, prn, com], nul, entre outras. 
Experimente criar estas pastas. Se conseguir criálas, 
experimente remové-las. 


a 1) Se você criou usando o Windows Explorer, algumas vai 
conseguir criar, outras não. Também terá problemas para 
remové-las. 





E Não é possível excluir Ipt1, Parámetro incorreto, 


OK | 


o 2) Se você tentar criar usando a janela de prompt de 
comando, não vai conseguir. 


Hack #2 Ver localização sem GPS 
ССС 


П 


Sites que exibem localização а partir do IP 


Não tem muita precisão e confiabilidade, mas ajuda na hora de saber de 


onde partiu um ataque 


WWW. m 


.com.br/ ou http://whatismyipaddress.com/ 


E hack, pois o leigo não tem a menor idéia de como fazer algo simples como 


verificar a provável localização de um IP e nem como fraudar esta 


localização. 


mylP 


IP:161.24.238.110 
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Hack +03 Encontrar MP3 no 


Google 
шн 


DO Google сото ferramenta de Hacking (mais 
detalhes posteriormente) 
O Permite muito hacks 
о Normalmente estes links não ficam disponíveis 

о Mais músicas ou cantores internacionais 

O -inurl:(htm | html | php) intitle: index of" "last 
modified + parent directory +description +size 
+(wma |mp3) “música ou cantor” 


O hitp://www.listen77.com/free-mp3 / 
O http:/ /www.gooload.com/index.html.en 


Hack #04 Criar usuário no Windows 
sem acessar Painel de Controle 


о No prompt 
п NET USER 
п NET USER hacker 123456 /ADD 


о Confirme acessando Contas de Usuário 


o Podemos gerenciar todas as contas existentes. 


3 Invasor pode comprometer a rede /sistema em 
minutos, apenas através de comandos 


[D Veremos mais comandos posteriormente 


Exercicio / 
m s 


1 Como foi sua experiéncia com o exercício hack #1, criar pastas proibidas 
no Windows? 


1 Como foi sua experiéncia com о exercício hack #2, localizar sua posição 
pelo IP? O sistema localizou corretamente, com uma margem de erro de по 
máximo 50km? Conseguiu mudar a localização? Como o fez? 


о Tente novamente sua localização usando o site http://www. ip- 
adress.com/ipaddresstolocation/ Notou alguma diferenca? O que pode 
ter ocorrido? 


1 Como foi sua experiéncia com o exercício hack #3, de encontrar МРЗ no 
Google? Qual a diferenca entre buscar diretamente pelo nome da música 
e usar as chaves sugeridas em nossa frase de buscas? 


1 Como foi sua experiéncia com o exercício hack #4, criar o usuário no 
Windows? Seria possível criar um usuário na Lan House para depois 
acessar а rede remotamente? Como imagina que isto seja possível? 


Ferramentas 


о http: //www.dnsgoodies.com / 


a Várias ferramentas (ping, trace, Му!Р) 


O http: / /uptime.netcraft.com/up / graph/ 


a Qual sistema operacional 


O www.fatecguaratingueta.edu.br 


O http: / / www.ussrback.com/ 


O Exploits 


O http: //www.hostlogr.com / 


п Algumas informações do servidor 


Ferramentas 


EN | a _______ ____________ 
o http://whois.domaintools.com/ 


о Digite o dominio no formato www.nome.com e veja no final da página 
de resultados o IP, além de opções para refinar a busca. 


O www.fatecguaratingueta.edu.br 


E Registro 


O www.globo.com 


ш Mais completo 
о http://www.nomer.com.br/whois 


a Para saber quem é o dono de um site + informações sobre о DNS. 


O www.globo.com 


о http: //mydnstools.info /smtprelay 


[1 Permite saber se um servidor permite o envio de spam: 


a smtp.globo.com 


Planejamento inicial de um ataque 


EN IS 
4 Obter informações sobre o sistema 
2 Monitorando a rede 
а Penetrando no sistema 
3 Inserindo código ou informações falsas 
а Enviando enxurada de pacotes desnecessários, 
comprometendo a disponibilidade 


Planejamento inicial de um ataque 


EN IS 
4 Ataques bem sucedidos podem acarretar: 


H 
Hd 


Monitoramento náo autorizado 

Descoberta e vazamento de informações não 
autorizadas 

Modificação não autorizada de servidores, base 
de dados e configurações 

Negação de serviço 

Fraude ou perdas financeiras 

Imagem prejudicada, perda de confiança e 
reputação 

Trabalho extra para a recuperação dos recursos 
Perda de negócios, clientes e oportunidades 


Planejamento inicial de um ataque 


eee 
а Após ataques 
а Encobrir passos realizados 
о Exclusão de logs 
о Exclusão de arquivos criados, temporários criados 
а Formatação completa 
3 Importância dos IDS 


Perguntas 
Me 






о $ а 
С. Internet 
== Tráfego Malicioso 
== Tráfego Malicioso Redireccionado 
= Trafego Normal 





++ 
vi D 
; Redireccionador Honey Farm 





Figura 1 - Honeyfarm 


Perguntas 


1 Se você descobre a senha de uma conta bancária é 
crime? 


1 SPAM é crime? 


п O que impede você de invadir contas bancárias, 
desfigurar sites, acessar e-mail de terceiros, etc? 
a Medo (punição, do desconhecido, das consequências)? 
O Falta de conhecimentos 


п Algum obstáculo? 


O que leva ao ataques 
= 





п Vingança 
п Vandalismo 
è Terrorismo 


3 Patriotismo MOT | VACAO 


O Religioso 





п Ego 
п Financeiro 


DO Diversão 


OS RISCOS QUE RONDAM 
AS ORGANIZAÇÕES 
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Introdução 
oo 


“O termo genérico para identificar quem realiza o 
ataque em um sistema computacional é hacker” 
(Tissato) 


Indivíduo obsessivo, de classe média, de cor branca, 
do sexo masculino, entre 12 e 28 anos, com pouca 
habilidade social e possível história de abuso físico 
e/ou social. 

(Estudo de Marc Rogers) 


Potenciais Atacantes 


же AAA d'B 
Segundo o Módulo Security Solutions: 


e Script kiddies: iniciantes ou newbies 

e Cyberpunks: mais velhos, mas ainda anti-sociais 

e Insiders: empregados insatisfeitos 

e Coders: os que escrevem suas ‘proezas’ 

° White hat: profissionais contratados, sneakers 

e Black hat: crackers 

e Gray hat: hackers que vivem no limite entre white e 
black hat. 


Usuários, autorizados ou não, também podem causar 
danos por erros ou ignorância. 


Perdas Financeiras causados por ataques 


Prejuízo (U$S 
ATAQU E milhóes) 





Espionagem em telecomunicações 0,3 
|пуазао de sistema 13 
Sabotagem 15,1 
Медасао de servico 18,3 
Abuso de rede interna 50 
Roubo de laptop 11,7 
Vírus 49,9 
Roubo de informações proprietárias 170,8 
Fraude em telecomunicações 6 


Fraude financeira 115,7 


Fontes de Ataque 
С 





Hackers 

Funcionários internos 
Concorréncia 
Governos estrangeiros 


Empresas estrangeiras 


Insiders 
BB 


Funcionários confiáveis 
° Venda de segredo, 1999, Área nuclear, EUA — China desde 


1980 
Funcionários subornados ou enganados 
° Espido alemáo, Karl Hinrich, seduziu funcionária, área de 


biotecnologia, EUA 

Funcionários antigos 

° 1993, José Ignacio Lopez e mais 7. GM para VW com mais de 
10 mil documentos privativos de novos projetos, estratégias, etc. 
1996, GM indenizada em U$S100 mi 

Funcionários insatisfeitos 

° Adm. Sistema insatisfeito com salário e bónus. Bomba lógica ет 
mil computadores com prejuízo de U$S 3 mi. Marco 2002. 


Pontos explorados 


Físico: Hardware / Instalacáo 


Usuários / Organização 


Computador 


Aplicação 
Servidor 


Rede / Telecomunicações 





Serviços, protocolos, etc 


Sistema Operacional 


Uma brecha em um desses niveis de sistemas 
permitirá a exploração dele todo 


Ataques para a obtenção de 


informações 
ma > 


e (Conhecer o terreno e coletar informações sobre о alvo sem ser 
notado é o primeiro passo (Tanto para atacar quanto para 
DEFENDER) 
• Podem ser utilizados: 

° Dumpster diving ou trashing 

e Engenharia social 

° Ataques físicos 

• Packet sniffing 

e Port scanning 

° Scanning de vulnerabilidades 

° Firewalking 

° IP Spoofing — técnica auxiliar 


Veremos em breve 


RECOMENDAÇÕES INICIAIS 


WRIIOI.IIzIIz Luiz Eduardo Guarino de Vasconcelos 





Concepções erradas sobre segurança да 


informação 

ooo 

° “Uma vez implantada a segurança, as 

informações estão seguras.” 

• "А implantação da segurança é um processo 

simples.” 

e “A segurança é um assunto de exclusiva 

responsabilidade da área de segurança.” 

e “A estrutura da segurança é relativamente 

estática.” 


Observações 
ИШИ > lD ç ə qEED E q D ih l l l h l l S 58 


° “As portas dos fundos sáo táo boas quanto as 
portas da frente.” 

• “Uma corrente é táo forte quanto o seu elo 
mais fraco.” 

• “Um invasor não tenta transpor as barreiras 
encontradas, ele vai ao redor delas buscando o 
ponto mais vulnerável.” 


As ameaças estão sempre рог perto? 
С 


• Ameaça é qualquer ação ou acontecimento que 
possa agir sobre um ativo. 

• Toda ação ou acontecimento é através de uma 
vulnerabilidade, gerando um determinado impacto. 
• Exemplos: 

• Naturais: raios, incêndios; 

* De Negócio: fraudes, erros, sucessão de pessoas; 
* Tecnológicas: mudanças, bugs“, invasões; 

• Sociais: greves, depredação, vingança; 

e Culturais: impunidade; 


Estamos preparados? 
С 


° Substituição de executivos 

* Falha de Hardware e/ou Software 
• Раћа na Rede 

* Invasão da Rede 

e SPAM 

• Falha Humana 

• Espionagem 


Porque se preocupar com a 


seguranca? 
и Ja ELA E, 


• Senhas, números de cartões de crédito. 
e Conta de acesso à internet. 
* Dados pessoais e comerciais. 


• Danificação do sistema 


Porque invadir o meu computador? 

__| ______________________________ 

• Роде ser utilizado para realizar atividades 

ilícitas.(pedofilismo por exemplo). 

° Realizar ataques contra outros computadores. 

• Disseminar virus. 

• Enviar SPAMs. 

• Furtar dados. 


e Vandalismo. 


Senhas 
м > 5 5 5 5 ç ç ç E Y ç A E D A ət h l 8 
° Ler e enviqr emqils em seu nome. 
° Obter informações pessoais suas.(Número do cartão 
de crédito) 


e Esconder a real identidade da pessoa. 





O que não usar na elaboração de 


senhas 





* Nomes. 

• Datas. 

* Números de documentos. 
* Números de telefone. 

• Placas de carro. 


e Palavras de dicionário. 


• Password (Pa$$wOrd) 





Bet You Can Guess These 


The most popular among 188,279 Gawker Media passwords that leaked orina. 
Loge Le 1.000 


Como elaborc „хх m 
12345675 aaa 
EN — | ]| 1] | | 












qwerty asa 
abci25 ш 


lfehack ШЕШ 

e Utilizar no mínimo 8 
caracteres. 

• А senha deve ser o mais 
“bagunçada” possível. 

• Deve conter letras 
maiúsculas e minúsculas. 

• Deve conter números. 

• Deve conter caracteres 
especiais. 

• A senha deve ser fácil 
de lembrar. 

e “Eu sou da turma 7, de 
TI” 

e “HESdt/dTi” 


111111 ЖШ 
monkey ЖШ 
consumer B 
12345 Wg 
= 
letmein MN 
trustnol NN 
dragon MN 
1234567 NN 
baseball EB 
superman Bl 
loveyou an 
gizmodo Ag 
sunshine E 
1234 E 
princess 
starwars Mg 
whatever 
shadow E 
cheese E 
123123 NJ 
nintendo 
football 
computer EN 
f—you El 
554321 NI 
blahblah [E 
password [E 
master ЈЕ 
soccer MI 
michael ЈЕ 














Seja menos importante 
ш QQ 


è A preocupação com a segurança é proporcional ao 
que vocé tem a perder no caso de falha na 
seguranca. Uma pessoa que mantém todos os seus 
arquivos importantes em um PC, e deixa este PC 
muitas horas por dia conectado por banda larga, 
está pondo em risco permanente a seguranca das 
suas informações. Ser menos importante é deixar o 
mínimo possível à disposição dos invasores. O preço 
dos HDs de grande capacidade, HDs externos, pen 
drives a preços bastante convidativos, são boas 
opções para manter as informações pessoais fora do 
micro. 


Backup Simplificado 
ССС 


3 О backup simplificado que proponho consiste em 
criar pastas temáticas na estrutura do disco rígido e, 
se náo der para fazer cópia de tudo, que copie pelo 
menos as pastas mais importantes. O segredo é, em 
vez de instalar programas de backup que vocé nunca 
vai usar, mova para as pastas os arquivos assim que 
sáo criados ou chegam ao seu PC, fazendo cópias 
periódicas apenas das pastas que пао podem ser 
perdidas. 


Saia do Caminho 
=m uQ 


a Quando um invasor tem acesso ao PC de alguém, a 
primeira coisa que faz é procurar nas pastas conhecidas 
рог arquivos que possam conter informações importantes. 


о Vai procurar em Meus documentos, raiz do disco rígido, 
área de trabalho, pasta das mensagens do programa de 
e-Mail. 

п Você vai aumentar consideravelmente sua segurança se 
passar a armazenar seus arquivos em pastas com nomes 
diferentes e em locais diferentes do tradicional. Melhor, 
como já disse, é salvar fora do PC, usando HDs removíveis 
ou pen drive. 


Plano de Contingéncia 
ЕСС 


O А visualização de cenários tanto serve para desenvolver 
planos de ataque como para planos de defesa. Pense na 
perda total do seu PC. O que aconteceria? Quais dados 
seriam irremediavelmente perdidos? Quanto tempo até o 
restabelecimento do sistema? 


O Pensar na tragédia poderá sensibilizá-lo o suficiente 
para tomar providências imediatas em prol da segurança 
do seu sistema ou dos seus contratantes. 


п O plano de contingência é a descrição do que você vai 
fazer em caso de perda total. Toda empresa deve ter 
um, mas a maioria nem sabe que isto existe. Cabe a você 
orientá-las e oferecer seus serviços. 


Seguranca Física 
= QQ 


о Quando se fala em segurança da informação o 
leigo quase que exclusivamente se pensa em 
invasões e invasores. Mas segurança da informação 
é também segurança física. 


DO) Prever a possibilidade de roubo, furto ou dano, 
seja ele natural ou por falha no equipamento. 


O Inclua no seu plano de contingência previsão de 
segurança física também. 


De quem se proteger 
ЕСС 


L 


As pessoas preocupam-se muito com hackers. Mas na verdade elas 
correm mais risco com pessoas de seu próprio convívio. А julgar pela 
quantidade de gente que me procura para aprender como invadir a 
conta de seus companheiros(as), podemos supor que o inimigo está 
mais próximo do que pensamos. 


Não quero pregar a desconfiança, mas alguma precaução se faz 
necessárias, pois o cônjuge de hoje pode ser nosso inimigo amanhã. 


O ex-prefeito de São Paulo, segundo informações que nos chegam 
através da imprensa, foi denunciado pela própria esposa. 
Recentemente tivemos o caso de um marido que, com o fim do 
relacionamento, divulgou um vídeo intimo gravado com a esposa. 


A informação não está apenas no computador, mas pode parar nele. 


Cuidado com seus segredos. 


Proteção 
ммм 

O Anti-virus 

O Firewall 

D Atualização diária (e.g. Windows Update) 

O Anti-spyware 

a Monitorando eventos 


о Monitorando processos 


Proteção 
oo 


п Delegacias de cibercrimes 


O http://www.safernet.ora.br/site /prevencao /orientacao /delegacias 


o Legislação 


O http://dsic.planalto.gov.br /documentos /quadro legislacao.htm 
о CTI (Renato Archer) 
п CGI 
a ISOC 


o Curiosidade: Internet no Brasil 


O http: / /noticias.r7.com/r7 / media/2010/0527 linhaTempoln 
ternet/linha Tempolnternet 700x500.swf 


Proteção 
СС 


° http:/ /www.technetbrasil.com.br 

* http:/ /www.infoguerra.com.br 

° http:/ /www.cartilha.cert.br 

* http:/ /www.modulo.com.br 

* http:/ /www.nextg.com.br 

* Revistas técnicas 

* Academia Latino Americana de Seguranca da 
Informação (Microsoft) 

* Internet, Internet e Internet 


Exercicio 9 
gg " AA. 


о Usando ferramentas on-line (para З servidores) 
о Descobrir o endereço IP da máquina alvo. 
о Descobrir informações técnicas sobre o servidor. 


о Descobrir qual é o sistema operacional e servidor Web 
rodando no servidor. 


о Descrever quais ferramentas foram utilizadas 


DO Pode fazer até do celular 


1 OBS.: Considerar os IPs dos servidores 


Exercicio 10 


ИШИ i |— |J .1.  . À  .. 
п Encontre 3 “ovos de páscoa” em softwares e envie 
o print screen de cada um e como podem ser 
descobertos. 


п Encontre e resuma 3 casos de espionagem ou 
insiders 


PROFISSIONAIS 
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Profissionais 
mm sa 


° Planejamento de carreira 
• Busca de equilíbrio (profissional x pessoal) 


• Valores. Etica. А ética que orienta o “caos”. 


Profissionais 
m ss 


° Porque quanto maior q seguranca, maior a 
facilidade de burlar a seguranca? 





Profissionais 
m ss 


° Orientado a resultados. 

* Capacidade de trabalho em equipes. 
• Liderança. 

• Perfil empreendedor. 

• Visáo do futuro. 

• Capacidade de inovar. 

• Comunicação, expor idéias. 

• Conhecimento técnico. 


Profissionais 
m aaa 


Individuais 

- Orientação a resultados 

- Criatividade 

- Foco no cliente. 

- Capacidade de análise e aprendizado. 
- Trabalho em equipe. 


Profissionais 


| 
D О que saber? 
O Redes e SO 
п Gestão de Projetos e TIC 
о Programação e criptologia 
O Hardware 
a Sociologia + Psicologia 
DO Certificações 
O Linux, Microsoft, Módulo, Cisco, ISO, CISSP 


Profissionais — competências 


especificas 





Tabela A: Resumo das Competências Específicas com base по СВК do (ISC) 





Arquitetura Segura 


Controle de Acesso 


Criptografia 


Conhecimento dos conceitos, principios, 
estruturas e padrões utilizados para 
desenhar, programar e gerenciar um 
sistema computacional de forma segura. 


Conhecimento do conjunto de mecanismos 


destinados a gerenciar o modo como as 
pessoas podem acessar e utilizar 
Informações. 


Conhecimento dos principios, meios e 


metodos utilizados para implementar 
modelos criptográficos como ferramenta de 
proteção para a segurança das informações 
de uma Organização. 


Desenho de uma rede de dados que possa 
equilibrar a manutenção dos niveis de 
segurança adequados e o nivel de desempenho 
exigido pelo negócio da Organização. 


Aplicação do Principio do Menor Privilêgio no 
modo como as pessoas utilizam um Sistema 
Operacional, Rede de Dados ou Aplicação 
Corporativa. 





Aplicar um modelo criptográfico como camada 
de proteção em um sistema de pagamento que 
utilize a Internet como meio de transmissão de 
dados. 


Profissionais — competências 


especificas 


Gestão de Riscos 


Legislação e 
Investigação 


Planejamento para 
Continuidade de 
Negócios e 
Recuperação de 
Desastres 





Conhecimento das metodologias para 
identificar os riscos à segurança das 
informações de uma Organização, 
dimensionamento do risco relacionado eo 
desenvolvimento e administração das 
medidas de redução de risco. 


Conhecimento das leis e normas que estão 
relacionadas à Segurança da Informação e 
como devem ser utilizadas de forma 
agregada à Gestão da Segurança da 
Informação. 


Conhecimento das metodologias 
relacionadas ao desenvolvimento de 
processos que garantam a continuidade e 
recuperação dos negócios de uma 
Organização mediante uma parada 
inesperada. 





Analisar os riscos existentes em um sistema de 
e-commerce, dimensionar o custo dos impactos 
da concretização de uma possivel ameaça e 
trabalhar em conjunto com especialistas de 
outras áreas para desenvolver, implementar e 
administrar as medidas de segurança para 
redução dos riscos possiveis. 


Conhecer o necessário do Código Tributário 
Nacional para determinar o nivel de 
disponibilidade necessário para um sistema de 
pagamento de impostos e desenvolver as 
medidas necessárias para garantir a 
manutenção desta disponibilidade. 


Entender o quão importante são os processos 
de negócio de uma Organização e desenvolver 
com base neste entendimento um modelo de 
contingência que permita recuperar os 
negócios antes que a perda torne-se 
inaceitavelmente custosa. 


Profissionais — competências 


es 
ani] 


Segurança em 
Aplicações 


Segurança em 


Processos 
Operacionais 





ecificas 


Conhecimento do que e necessario fazer 
para criar ou administrar uma Áplicacao 
Corporativa de modo а respeitar os 
conceitos de confidencialidade, integridade 
e disponibilidade exigidos pela Organização. 





Conhecimento dos procedimentos que 
devem ser utilizados para administrar os 
niveis de segurança em processos 
operacionais que sejam utilizados no 
manuseio das informações. 


Desenvolvimento de um modelo de segurança 
aplicado a todo o ciclo de desenvolvimento de 
uma Aplicação Corporativa (desenho, 
desenvolvimento, implementação e 
administração). 


Conhecer e saber aplicar principios de 
segurança по ciclo de vida de uma informação 
e distribuir procedimentos operacionais que 
suportem este controle em todas as áreas de 
uma Organização que interajam com este ciclo. 





Profissionais — competências 


especificas 


Segurança em 
Telecomunicações 
e Redes de Dados 


Segurança Fisica e 
Ambiental 





Tabela À: Resumo das Competências Específicas com base no CBK do (Isc) 


Conhecimento dos modelos de segurança 
que devem ser aplicados a uma rede de 
dados para garantir a manutenção dos 


niveis de segurança esperados por uma 
Organização. 


Conhecimento dos conceitos de segurança 
fisica e ambiental que devem ser utilizados 
como camada de proteção às informações 
de uma Organização. 


Desenvolver um modelo de acesso remoto que 
utilize a Internet como canal de comunicação e 
mantenha o nivel de segurança esperado, tal 
como uma Virtual Private Network (VPN). 


Saber desenhar os controles de segurança 
fisica adequados a um doto center de acordo 
com o seu nivel de criticidade para uma 
Organização. 





